Análisis de malware

Caza de amenazas – Malspam – Oficina de Japón infectada

febrero por Kapil Kulkarni

Este es un laboratorio que se realiza en un banco de pruebas. Los recursos se descargaron de malware.trafficanalysis.net. Las muestras proporcionadas proceden de un estudio de caso de una oficina local japonesa que fue víctima de un importante ciberataque.

Guión

Trabaja como analista de seguridad para una empresa con oficinas en todo el mundo y, recientemente, la sede corporativa abrió una oficina de campo en Japón.

¡Conviértete en un ingeniero inverso certificado!

Obtenga capacitación práctica en vivo sobre análisis de malware desde cualquier lugar y conviértase en un analista certificado de ingeniería inversa. Comienza a aprender

El martes 27 de junio de, observó varias alertas de alta prioridad de dos sistemas de detección de intrusiones (IDS) diferentes. Un IDS ejecuta Snort utilizando el conjunto de reglas de suscripción de Snort y el otro ejecuta Suricata, utilizando el conjunto de reglas de EmergingThreats Pro.

Los resultados indican que una computadora con Windows fue infectada en la oficina local de Japón y se le pidió que investigara esta violación de seguridad. Tiene el «pcap», un archivo de texto que contiene las alertas de Snort y un archivo de texto que contiene las alertas de Suricata.

Se nos ha asignado la tarea específica de determinar la causa de este ciberataque. Se nos han proporcionado ciertos archivos sobre los cuales comenzaremos a documentar y buscar sistemáticamente. El objetivo principal aquí es investigar la existencia del malware y los programas asociados instalados que incluyen el seguimiento del centro de comando y control.

Los archivos que se han proporcionado son los siguientes:

• -06-28-ejercicio-de-análisis-de-tráfico. pcap
  • Archivo que contiene la publicación de captura de tráfico y la fase previa a la infección.
• -06-28-ejercicio-de-análisis-de-tráfico-alertas-Snort.
  • Archivos de alerta para SNORT, que es un sistema de prevención de intrusiones en la red de código abierto.
• -06-28-ejercicio-de-análisis-de-tráfico-alertas-Suricata.
  • Archivos de alerta para el motor de detección de amenazas de Suricata.

Para comenzar este análisis, utilizamos las firmas disponibles para analizar el archivo y determinar si existe alguna infección conocida que resida en el sistema. Hay dos enfoques diferentes que podemos utilizar:

1. Podemos analizar el archivo únicamente a través de las detecciones de firmas disponibles.
2. Podemos crear una suposición y luego utilizar las herramientas necesarias para llegar a una conclusión.

Considerando ambos enfoques, el segundo requerirá más tiempo dependiendo del paquete de datos o del tamaño de la muestra. Las prácticas de nivel industrial incluyen un enfoque híbrido en el que podemos analizar los archivos a través de varias herramientas de detección de amenazas y luego formular una hipótesis.

Seguiremos el proceso híbrido. A continuación se muestran sitios web que se pueden utilizar para cargar y verificar la existencia de amenazas:

• https://www.virustotal.com/#/home/upload
• https://metadefender.opswat.com/#!/
• https://virusscan.jotti.org/
• https://www.hybrid-analysis.com/
• http://virscan.org/

Para esta práctica de laboratorio, utilizaremos el sitio web de VirusTotal. Comparte las muestras con todos los AV de renombre y, por lo tanto, tiene una mayor confiabilidad de detección. Esto se ilustra en la siguiente captura de pantalla:

Usaremos un malware llamado «Trojan.Win32.Ursnif.eqlfmr». Esto se ilustra arriba.

Una búsqueda rápida de recursos relacionados con la amenaza identificada reveló más información sobre el paradero de este malware específico.

Se identifican algunos indicadores de compromiso, que se describen como:

• top.musiccitycg.com
• okinawa35.net
• shell.windows.com
• rts21.co.jp
• -06-28-ejercicio-de-análisis-de-tráfico.pcap
• wp.exe
• Aquí hay algunos detalles del archivo que se descargó:
• 0627_7784147615af8184a36778d9ab77c6e7880abb4cc3637eaf25286bfbdc6bfe92.bin

El archivo pcap ahora se ha utilizado para análisis adicionales desde que lo alcanzamos. El filtrado del archivo pcap con el filtro «HTTP.request» en Wireshark y una revisión de la columna de host muestra un host familiar para el malware «vantagepointtechnologies.com». Este host conducirá a la descarga de un archivo llamado «wp.exe». Esto se ilustra en la siguiente captura de pantalla:

Aquí están los detalles observados:

Dirección IP: 192.168.1.96

Nombre de host: FlashGordon-PC

El sistema está infectado por el «Trojan.Win32.Ursnif.eqlfmr». Además, el archivo wp.exe se descargó del host afectado.

Este malware específico descarga más archivos y puede robar información privada y confidencial del usuario final. Además, recopila las contraseñas que se almacenan en el navegador web Internet Explorer. Se instala como una actualización de Adobe Flash y se difunde por correo electrónico. Se dirige al registro del sistema y lo modifica de tal manera que se ejecuta cada vez que se inicia el sistema operativo Windows.

TrojanSpy: Win32/Ursnif coloca el siguiente archivo, que es un controlador de dispositivo:

%windir%new_drv.sys: también detectado como TrojanSpy:Win32/Ursnif

Reanudamos nuestra investigación a través del archivo pcap proporcionado donde podemos comenzar a examinar en busca de otras pruebas que sean de naturaleza sospechosa además del «TrojanSpy: Win32/Ursnif».

Las dos primeras solicitudes que observamos son las consultas DNS que intentan conectarse a la IP matied.com del sitio web matied.com. Se carga y el usuario accede a él, y se demuestra que también es un sitio web malicioso. Esto se ilustra en la siguiente captura de pantalla:

Esta amenaza ha sido señalada y, como resultado, esto hará que otros recursos de seguridad también participen. Debido a esto, ahora podemos continuar con la «http.request». Esto se ilustra en la captura de pantalla de arriba.

Además, la siguiente solicitud que se invocará es el «apretón de enlace TCP» estándar. Esto dirige el tráfico HTTP a matied.comm Taking, como se ilustra a continuación:

El «gerv.gun» es una solicitud de archivo de la máquina host. Varios rastros de las herramientas e informes AV revelaron que la carga útil estaba incrustada en el archivo y luego instalada en el sistema. El malware fue identificado como Trojan-Banker.Win32.Shiotob.wiu y es una posible replicación del ransomware Ursnif/Gozi.

Las víctimas se convirtieron en los principales objetivos de la campaña de phishing. Por ejemplo, el correo electrónico parecía provenir de una fuente legítima, como se ilustra en la siguiente captura de pantalla:

Para analizar el archivo en un nivel más profundo, extrajimos los objetos HTTP de exportación. Existen varios métodos para realizar esta tarea. Uno de los más simples es el siguiente:

«Archivo → Exportar → Objetos → Http».

Luego se le proporcionará una lista de objetos que luego se podrán extraer con éxito.

A continuación, seleccione el que sea necesario y extraiga ese objeto.

Ahora hemos recuperado los archivos trow.exe y wp.exe. Como este último es un archivo infectado, sólo nos queda el trow.exe. archivo.

También hay un archivo grev.gun para el cual la solicitud determinó que era algún tipo de ejecutable dentro de un archivo gun. No pudimos recuperarlo exitosamente, pero hay muchos recursos para marcarlo como un archivo malicioso.

Se utilizó un análisis híbrido ( www.hybrid-analysis.com ) para análisis adicionales. Las URL afectadas son las que visitó nuestra máquina host. Luego, el malware lee las claves relacionadas con el servicio de terminal (a menudo relacionadas con RDP), seguido de la lectura del nombre de la computadora activa y la fecha de instalación de Windows. Posteriormente, el malware activó cargas útiles e importó API sospechosas . Esto se ilustra en la siguiente captura de pantalla:

El archivo Trow.exe se obtuvo nuevamente con el objeto HTTP. Esto resultó ser vulnerable a varios dominios. El malware pertenece a una familia de Win32/Cutwail y, por lo tanto, conduce a la descarga y ejecución de varios archivos arbitrarios alojados en dominios comprometidos.

Esta familia de malware se utiliza para comprometer las computadoras de diversas formas, según la voluntad del atacante. Por ejemplo, puede distribuir malware adicional, enviar spam, generar ingresos publicitarios falsos de «pago por clic», recolectar direcciones de correo electrónico e incluso romper las características de seguridad de los «captchas» que a menudo se utilizan como medio de verificación. El malware también puede incrustarse como un rootkit para evitar su detección y eliminación. Esto se ilustra en las dos capturas de pantalla anteriores.

La URL de distribución incluye los sitios web lounge-haarstudio.nl y vatagepointtechnologies.com. Al utilizar los comandos «archivo» y «cadenas» basados ​​en Linux, se reveló que se trata de archivos ejecutables de Windows de 32 bits. Además, también observamos las secciones de archivos y las importaciones de archivos que incluyen las siguientes DLL basadas en Windows:

• kernel32.dll
• KERNEL32.dll
• USER32.dll
• GDI32.dll
• ADVAPI32.dll
• SHELL32.dll
• ole32.dll
• WinSCard.dll
• COMCTL32.dll
• pdh.dll
• RPCRT4.dll
• gdiplus.dll
• WINHTTP.dll
• WTSAPI32.dll

Los archivos ejecutables correspondientes pueden incluso acceder a las DLL privilegiadas, como se ilustra en la siguiente captura de pantalla:

Sin olvidar que hay muchos archivos objeto volcados durante la exportación, vemos algún tipo de datos ofuscados que pueden no ser necesariamente maliciosos. Mientras rastreamos el centro de comando y control, nos encontramos con numerosas solicitudes POST que contienen datos confusos.

Este es un comportamiento esperado del lado del cliente que intenta PUBLICAR datos en el servidor. También hay casos en los que los datos pueden transferirse al servidor en el puerto 443, pero serán de naturaleza texto sin cifrar. Todo esto se ilustra en las capturas de pantalla anteriores.

Para rastrear esto, podemos utilizar los registros de red o las firmas de las herramientas SIEM. Si estas herramientas no están disponibles, podemos continuar con VirusTotal o el análisis híbrido.com. Ambos recursos constan de una base de datos que cuenta con centros de comando y control, dependiendo del tipo de malware que se identifique. Esto se ilustra en la siguiente captura de pantalla:

Finalmente, hemos llegado a un nivel en el que se ha confirmado que varios agentes atacan y ahora podemos «reforzar» el proceso con todo tipo de detalles. Como resultado, esto puede ser utilizado por los mecanismos defensivos que implementa la organización afectada.

Conclusión:

Detalles de la máquina infectada:

Nombre de host: FlashGordon-PC

Dirección IP: 192.168.1.96

Hora y fecha de infección: 27 de junio de 09:38:32 EDT

Sistema operativo: Windows 7 (cadena de agente de usuario asignada con sistemas operativos)

Archivos maliciosos descargados:

• gerv.gun
• wp.exe
• trow.exe

Dominio malicioso observado:

• http://matied.com/
• Centler.at
• http://lounge-haarstudio.nl/oud/
• http://vantagepointtechnologies.com

Países registrados de dominio:

• Estados Unidos de América (Phoenix, Arizona)
• Estados Unidos de América (Fort Lauderdale, Florida)

Variantes de malware descargadas:

• Win32/Cutwail
• Trojan-Banker.Win32.Shiotob.wiu

Impacto del malware:

Hace lo siguiente:

• roba contraseñas
• Proporciona funcionalidad oculta avanzada al colocar un segundo controlador de dispositivo en el disco;
• Descarga y ejecuta archivos;
• Oculta y protege sus entradas de registro;
• Enlaza las distintas funciones a través de la tabla de descriptores de servicios del sistema (SSDT);
• Cambia la configuración de Internet;
• Desactiva programas;
• Supervisa y roba las credenciales de los usuarios;
• Comunicarse directamente con un servidor remoto.

Firmas Md5:

wp.exe – 4da48f6423d5f7d75de281a674c2e6p>

trow.exe – fb75d4f81be51074bb4147e781e5b402

(Obtenido usando el comando md5sum)

Posibles software explotados:

• Adobe Flash
• Microsoft Internet Explorer 7

Firmas activadas:

• Descarga ILE-EXECUTABLE de contenido ejecutable [11192]
• FILE-EXECUTABLE Archivo binario ejecutable portátil mágico detectado [15306]
• INDICADOR-OFUSCACIÓN Se detectó posible intento de ofuscación de escape de JavaScript [19887]
• POLICY-OTHER Se encontró un archivo remoto que no es JavaScript en el atributo src de la etiqueta de script [32481]
• POLICY-OTHER Se encontró un archivo remoto que no es JavaScript en el atributo src de la etiqueta de script [35180]
• Descarga ILE-EXECUTABLE de contenido ejecutable [11192]
• FILE-EXECUTABLE Archivo binario ejecutable portátil mágico detectado [15306]
• INDICADOR-OFUSCACIÓN Se detectó posible intento de ofuscación de escape de JavaScript [19887]
• POLICY-OTHER Se encontró un archivo remoto que no es JavaScript en el atributo src de la etiqueta de script [32481]
• POLICY-OTHER Se encontró un archivo remoto que no es JavaScript en el atributo src de la etiqueta de script [35180]
• ET SHELLCODE Posible código Shell codificado en UTF-16 detectado [174]
• ET TROJAN Posible paquete de ping UDP de tráfico cifrado P2P Downadup/Conficker-C (valor de bit 1) [
• ET TROJAN Backdoor.Win32.Pushdo.s Registro [867]
• Conexión ET TROJAN a la IP de Fitsec Sinkhole (posible host infectado) [998]
• ET TROJAN Posible valor de cookie de sumidero de host comprometido Snkz [141]
• ET TROJAN Pushdo.S Respuesta CnC [897]
• ET CURRENT_EVENTS WinHttpRequest Descargando EXE [822]
• POLÍTICA ET Búsqueda de IP OpenDNS [472]
• ET SCAN Mensajes de error 403 inusualmente rápidos, posible análisis de aplicaciones web [749]
• ET SCAN Mensajes de error 404 inusualmente rápidos (página no encontrada), posible escaneo de aplicaciones web/ataque de adivinación de directorios [885]
• GPL WEB_SERVER 403 Prohibido [2101
• ET POLICY Conexión de proxy detectada [449]
• ETPRO TROJAN Sinkhole.tech Respuesta del fregadero [2826425]
• Descarga de archivos ET POLICY PE EXE o DLL para Windows [419]
• Descarga del exe de ET POLICY a través de HTTP: informativo [595]
• ET POLICY Descarga binaria de menos de 1 MB Probablemente hostil [671]
• ET POLICY Internet Explorer 6 en uso: riesgo de seguridad significativo [706]

Recomendaciones:

There are various techniques by which an organization can defend itself. This Includes all the following:

• Making use of both IDS and IPS technologies for data packet level analysis;
• Deploying firewalls and routers;
• Running up-to-date security features of any software package that is used;
• Getting the latest software updates and installing on them;
• Understanding how malware works via security awareness training programs;
• Limiting user privileges;
• Using caution with attachments and file transfers;
• Being vigilant when clicking on links to web pages;
• Avoiding downloading pirated software;
• Creating and implementing strong passwords.

References:

• https://www.virustotal.com
• https://www.malware-traffic-analysis.net/
• https://www.windowscentral.com/how-to-keep-your-windows-pc-protected-against-malware
• https://www.atea.no/media/1940/scan.pdf
• http://www.urlvoid.com/
• http://www.ipvoid.com/
• https://www.hybrid-analysis.com
• https://myonlinesecurity.co.uk/japanese-language-invoice-malspam-using-js-files-inside-zips-today/
• https://metadefender.opswat.com/#!/
• https://virusscan.jotti.org/
• http://virscan.org/